(Sintesi della relazione presentata al seminario e convegno di studi "Firma digitale e libere professioni" - Pontremoli, 15-16 ottobre 1999)

Nonostante l’Italia sia stato uno dei primi paesi europei ad aver accolto in maniera integrale l’innovazione tecnologica nel proprio sistema economico giuridico attraverso il recepimento della tecnologia della firma digitale con D.P.R. 513/1997, la proposta di direttiva comunitaria sulla firma elettronica (Posizione Comune del 28 giugno 1999) potrebbe condurre il legislatore italiano a modificare alcuni punti salienti della normativa attualmente in vigore.
Infatti, l’esame comparato dei due testi legislativi evidenzia come vi siano delle differenze sostanziali che potrebbero comportare la necessità di un adeguamento da parte dell’Italia al fine di armonizzare la normativa dei diversi Stati Membri. Esaminiamo qui di seguito le divergenze più rilevanti tra i due provvedimenti.

Modello legislativo adottato
A differenza della proposta di direttiva comunitaria, l’Italia ha optato per la tecnologia asimmetrica della firma digitale di cui viene fornita la definizione: essa si basa "su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare al provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici" (art. 1 lett. b) del D.P.R. 513 del 1997).
La posizione comune del Consiglio dell’Unione Europea che ha modificato nella sostanza l’originaria proposta della Commissione sulla firma digitale continua ad adottare un sistema tecnologicamente neutro in quanto attribuisce validità giuridica alla firma elettronica intesa come un qualunque mezzo elettronico di identificazione sebbene, nella sua ultima versione, si faccia riferimento anche ad una firma elettronica "avanzata". Quest’ultima viene definita come "una firma elettronica che soddisfi i seguenti requisiti: a) essere connessa in maniera unica al firmatario; b) essere idonea ad identificare il firmatario; c) essere creata con i mezzi sui quali il firmatario può conservare il proprio controllo esclusivo; d) essere collegata ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica di detti dati" (ex art. 2 punto n.2).
Il riferimento alla firma elettronica "avanzata" non può essere intesa nel senso che la Comunità Europea abbia voluto avallare la scelta legislativa di quei Stati, come l’Italia, che hanno adottato la firma digitale. Infatti, in primo luogo, le caratteristiche che deve avere la firma elettronica avanzata potrebbero essere assicurate dall’adozione di altre tecnologie diverse dalla crittografia a chiavi asimmetriche; in secondo luogo, l’art. 5 comma secondo della posizione comune del Consiglio esclude che la firma elettronica possa non essere considerata efficace ed ammissibile come prova in un giudizio unicamente a causa del fatto che "non sia creata da un dispositivo per la creazione di una firma sicura". Infatti, se la normativa europea avesse voluto adottare la firma digitale come standard minimo di sicurezza ammissibile, quest’ultima disposizione non avrebbe alcun senso.
Seguendo l’esempio di quasi tutte le legislazioni straniere, il decreto italiano si apre enunciando le definizioni dei termini tecnici rilevanti per la disciplina giuridica. Il fatto che venga determinato il concetto generale di documento informatico pone una ulteriore distinzione rispetto al testo della normativa elaborata dall’Unione Europea.
Anche se non sottoscritto con firma digitale, il documento informatico provvisto dei requisiti stabiliti dal regolamento ha l’efficacia probatoria delle riproduzioni meccaniche e pertanto fa piena prova dei fatti e delle cose rappresentate se colui contro il quale è prodotto non ne disconosce la conformità ai fatti o alle cose medesime.
Mentre la normativa italiana è volta a dare un separato valore legale al documento informatico non sottoscritto, il testo comunitario attribuisce valore giuridico al documento (informatico) sottoscritto con firma elettronica. Infatti in tutta la disciplina comunitaria non si fa alcun riferimento al documento, ma esclusivamente alla firma, con la conseguenza che la validità giuridica del primo è solo desumibile e quindi non direttamente ed espressamente stabilito dal testo di legge.

Il servizio di certificazione e la responsabilità delle Autorità di Certificazione
Secondo la normativa italiana, l’Autorità di Certificazione può essere sia un soggetto pubblico che privato. Il certificatore, se soggetto privato, deve avere la forma di società per azioni e capitale sociale non inferiore a quello necessario ai fini dell’autorizzazione all’attività bancaria (12,5 miliardi di lire). Inoltre, il fornitore del servizio deve possedere tutta una serie di requisiti previsti dall’art. 8 del D.P.R. 513/1997, tra cui l’iscrizione in un apposito elenco predisposto dall’Autorità Informatica per la Pubblica Amministrazione (AIPA). La normativa italiana nulla dice sulla validità dei certificati emessi da autorità di certificazione non accreditate e quindi non iscritte nell’apposito albo. Si può desumere, dal silenzio normativo che certificatori che non rispettino i requisiti e le procedure previste dal Decreto e dal relativo Regolamento di attuazione ( Regolamento tecnico approvato dalla presidenza del Consiglio dei Ministri il 13 febbraio 1999) non possono svolgere tale attività ovvero che nell’ipotesi in cui la svolgano, ai certificati da loro emessi non si può attribuire alcuna validità giuridica.
Contrariamente, la normativa comunitaria prevede che gli Stati membri non possono subordinare l’esercizio del servizio di certificazione ad una autorizzazione preventiva (art. 3) altrimenti si ostacolerebbe lo sviluppo sia in termini di domanda che in termini di innovazione tecnologica ma, per raggiungere un equilibrio tra esigenze dei consumatori ed esigenze delle imprese e conquistare la fiducia dei primi, lo Stato membro può subordinare la fornitura di servizi di certificazione di un elevato livello di sicurezza a sistemi di accreditamento volontari. La norma comunitaria richiede in questo caso che gli accreditation schemes siano obiettivi, proporzionati, trasparenti e non discriminatori.
L’autorità di certificazione accreditata viene iscritta in un apposito albo e i certificati da essa rilasciati sono ritenuti "qualificati" cioè dotati di un alto livello di sicurezza senza escludere comunque la validità giuridica e la sicurezza dei certificati forniti da autorità che non hanno richiesto l’accreditamento. La distinzione si pone solo nell’ipotesi di controversie giuridiche: le autorità di certificazione non accreditate dovranno dimostrare che i loro certificati offrono standard di autenticazione e sicurezza simili ai certificati qualificati.
La normativa italiana, all’art. 9 del Decreto 513/1997 prevede tutta una serie di obblighi che devono essere adempiuti dall’Autorità di Certificazione, senza però individuare eventuali responsabilità nell’ipotesi in cui tali obblighi vengano violati.
L’art. 6 del testo comunitario, invece, stabilisce tutta una serie di responsabilità del fornitore del servizio di certificazione, il quale è responsabile per i danni provocati a persone fisiche o giuridiche che facciano ragionevole affidamento sul certificato. In particolare, l’Autorità di certificazione è responsabile a) per l’esattezza delle informazioni contenute nel certificato; b) per la mancata registrazione della revoca del certificato; c) per la garanzia che, al momento del rilascio del certificato, il firmatario identificato nel certificato qualificato detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato; d) per la garanzia della complementarietà dei dati per la creazione e la verifica della firma, salvo che il prestatore provi di aver agito senza negligenza (inversione onere della prova).
Inoltre, viene prevista la possibilità di porre delle limitazioni economiche di responsabilità: se è stabilito un limite d’uso del certificato, "il prestatore di servizi di certificazione deve essere esentato dalla responsabilità per i danni derivanti dall’uso di un certificato qualificato che ecceda i limiti posti nello stesso" (art. 8, terzo comma).

Aspetti internazionali
Secondo il testo comunitario, la procedura di accreditamento deve essere concepita in modo da facilitare il commercio elettronico a livello mondiale attraverso la cooperazione ed il mutuo riconoscimento dei certificati emanati da autorità di certificazione di Stati non appartenenti alla Unione Europea (art. 7). Le condizioni necessarie per il riconoscimento sono:
1. la presenza dei requisiti previsti dalla direttiva e l’accreditamento da parte di uno degli Stati membri; oppure
2. la garanzia sulla validità del certificato da parte di una autorità di certificazione "europea" in possesso dei requisiti; oppure
3. il riconoscimento dell’autorità di certificazione sulla base di un accordo bilaterale o multilaterale tra l’Unione Europea e stati terzi oppure organizzazioni internazionali.
La Commissione può intervenire per facilitare il reciproco riconoscimento dei certificati sia con proposte volte a rendere effettive l’implementazione degli standard tecnici sia con proposte da sottoporre al Consiglio e volte ad ottenere dei mandati a negoziare accordi bilaterali e multilaterali con paesi terzi ed organizzazioni internazionali.
Contrariamente, invece, l’art. 8 del Decreto 513/1997 stabilisce che la procedura di certificazione può essere svolta anche da un certificatore operante sulla base di una licenza od autorizzazione rilasciata solo da un altro Stato membro dell’Unione Europea o dello Spazio economico europeo - con l’esclusione quindi di Stati extracomunitari - e solo a condizione che tali certificati vengano rilasciati qualora siano in possesso di equivalenti requisiti.